2018年10月9日
2018年のApollo.io社のシステムに対するセキュリティ侵害とNew Relic社の対応についてまとめました。
セキュリティオフィサーの声明
週末、New Relicは、営業生産性向上ツールのベンダーであるApollo.io社から、同社のシステムにセキュリティ侵害が発生し、氏名、電子メールアドレス、電話番号、会社名、役職など、名刺のような顧客の連絡先情報が含まれていたという警告を受けました。当社はこの問題を積極的に調査していますが、現時点では、当社の顧客および見込み客の連絡先情報の一部が含まれていた可能性があると考えています。
New RelicはApollo.ioにデータを販売したのではなく、ベンダーサービスの利用の一環としてのみデータを共有していたため、一般データ保護規則2016/679(以下、GDPR)で定義されているように、影響を受けた情報の「データ管理者」はNew Relicであり、Apolloは「データ処理者」であったことになります。New Relic製品プラットフォーム(New Relicが「データ処理者」としての役割を果たす)の顧客データがApollo.ioのサービスとリンクしたり、影響を受けたことはありません。
ニューレリックでは、お客様のデータのセキュリティとプライバシーを最重要視しており、あらゆるサードパーティベンダーとの契約において、厳格な情報セキュリティポリシーを実践しています。私たちは、すべてのベンダーのポリシーとプロセスを継続的に評価しています。
この事件に関する追加情報については、 discuss.newrelic.com/c/security-notifications をご覧ください。
- Shaun Gordon, VP, Chief Security Officer, New Relic
事件の概要
誰が影響を受けるのか?
現在、誰が影響を受けているかを調査中ですが、このベンダーの侵害はビジネスの連絡先情報に限定されていると考えています。
何が起こったのか?
New Relicは先日、Apollo.ioから、プライバシーポリシーに基づいて共有していた個人データが侵害により流出したとの通知を受けました。その後、関係するデータの範囲についての調査を開始しました。当社のプライバシーポリシーについては、 newrelic.com/termsandconditions/privacy で詳しく説明しています。ニューレリックはApolloにデータを販売したのではなく、ニューレリックへのサービス提供を支援するためだけにデータを共有しました。
漏洩したデータは?
現在も調査を続けていますが、顧客または顧客候補の電子メールアドレス、会社名、業務連絡先、およびそれらの電子メールに関連する顧客名が流出した可能性があると考えています。
金融口座情報(クレジットカード番号、銀行口座番号など)、政府発行の身分証明書番号(社会保障番号、パスポート番号など)、GDPRで定義されているセンシティブカテゴリーの個人データ(医療情報、宗教的嗜好など)が流出したことはないと考えています。
ニューレリックがとった行動は?
Apollo.io社に追加情報の提供を依頼し、社内で調査を続けています。
今後、ニューレリックはどのような行動をとるのでしょうか?
引き続き調査を行い、必要に応じて情報を提供していきます。
この事件について、EUのデータ保護当局に通知する必要がありますか?
上記で説明したように、New Relic は、この事件の結果として公開された連絡先情報の「データ管理者」です。したがって、GDPR の下での「データ管理者」としての責任を果たすために、主管のデータ保護当局に通知を提出します。この通知の一環として、当社はいかなる顧客情報も開示しません。
更新と解決
2018年11月5日
セールス・インテリジェンス・ベンダーであるApollo.io社は、外部のセキュリティ・リサーチャーから、同社システムのセキュリティ侵害について通知を受けました。対象となったデータには、氏名、電子メールアドレス、電話番号、会社名、役職など、名刺のような連絡先情報が含まれていました。この問題を調査した結果、New Relicの顧客および見込み客の特定の連絡先が含まれていたことが判明しましたが、悪用された形跡はありませんでした。当社の要請により、Apollo.ioが入手したNew Relicのすべてのデータは、Apollo.ioのシステムからパージされました。
New RelicはApollo.ioにデータを販売したのではなく、ベンダーサービスの利用の一環としてのみデータを共有していたため、一般データ保護規則2016/679(以下、GDPR)で定義されているように、影響を受けた情報の「データ管理者」はNew Relicであり、Apollo.ioは「データ処理者」であったことになります。New Relic製品プラットフォーム(New Relicが「データ処理者」としての役割を果たす)の顧客データがApollo.io 30のサービスとリンクされたり、影響を受けたことはありません。
ニューレリックでは、お客様のデータのセキュリティとプライバシーを最重要視しており、あらゆるサードパーティベンダーとの契約において、厳格な情報セキュリティポリシーを実践しています。私たちは、すべてのベンダーのポリシーとプロセスを継続的に評価しています。
お客様へのコミットメント
ニューレリックでは、お客様のセキュリティとプライバシーを最重要視しており、いかなるサードパーティのベンダーを起用する場合でも、厳格な情報セキュリティポリシーを実践しています。
私たちは、お客様との関係を大切にします。ご不明な点がございましたら、 support.newrelic.com までお問い合わせください。当社のプライバシーポリシーについては、 newrelic.com/termsandconditions/privacy をご覧ください。